BRUXELLES – Mens medarbejdere kan være bragt i sikkerhed, og danske virksomheders kontorer i Ukraine er blevet forladt, kan de efterladte kontorlandskaber fortsat udgøre en stor fare for dansk erhvervslivs drift herhjemme.

Adgangen til it-systemer fra kontorerne i Ukraine kan nemlig udgøre en bagdør over landegrænser, som kan bringe hackere hele vejen fra Østeuropa til danske virksomheders maskinrum i Danmark. Sådan lyder advarslen fra Mark Fiedel, der er chef for Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste, i et interview med Watch Medier.

”Virksomheder, der er i Ukraine, eller hvis netværk er forbundet til området, f.eks. i forbindelse med et leverandørforhold, er i dag udsat for en større risiko for at blive ramt af et destruktivt cyberangreb,” siger Mark Fiedel.

”Lige nu meldes der om destruktive cyberangreb over en bred kam i Ukraine. Og hvis en virksomheds Ukraine-afdeling bliver ramt, kan man risikere, at angrebet fra Ukraine simpelthen spreder sig via netværket helt ind til forretningen i Danmark,” forklarer Mark Fiedel.

Spørgsmålet om danske virksomheders it-sikkerhed kommer sideløbende med, at danske virksomheder på stribe har trukket sig ud af både Rusland og Ukraine. Situationen kræver dog uanset hvad noget omtanke vedrørende cybersikkerheden, forklarer cybersikkerhedschefen.

En meget dyr bagdør i Kyiv

Det er ikke første gang, Ukraine har været arnested for milliarddyre hackerangreb. Tilbage i 2017 udgjorde en ulovlig indtrængen i systemer i shippinggiganten Mærsks forretning i Ukraine bagvejen for det, som angiveligt udgjorde det ”mest ødelæggende cyberangreb siden internettet blev opfundet”.

En gruppe hackere med påståede bånd til det russiske militær havde gennem foråret fået adgang til et udbredt regnskabsprogram, som blev udbudt gennem ukrainske softwareudbydere. Blandt kunderne fandt man Mærsk. Og pladsen i et ukrainsk kundekartotek gav nu hackerne en klar bagdør fra en softwareudbyder i Kyiv-bydelen Podil ind til shippinggigantens hovedkontor på Esplanaden.

Adgangen betød, at en hackergruppe på få timer i løbet af en juni-dag kunne lamme Mærsks internationale transportnetværk gennem et såkaldt ransomware-angreb. Fremgangsmåden betød kort sagt, at virksomhedens systemer og data blev taget som gidsel, inden der blev krævet en løsesum.

Prisen for ransomware-angrebet er endnu ukendt. I en meddelelse vurderede topchef Søren Skou dog dengang, at angrebet, der varede et par uger, resulterede i tab for 1,35-2,0 mia. kr.

Programmet anvendt af hackergruppen mod den danske shippinggigant kaldes i dag Notpetya, og selv om det nok er bedst kendt for angrebet mod Maersk, var shippingselskabet langt fra det eneste mål.

Dagen efter, at it-programmet havde resulteret i, at store dele af Esplanaden i panik var blevet bedt om at lukke computere og IP-telefoni, havde virussen ifølge det internationale IT-sikkerhedsfirma Kaspersky også slået til i både Polen, Italien, Frankrig, Storbritannien, Ukraine, Rusland og Tyskland.

Krigen er også blevet en cyber-krig

Mark Fiedel henviser også selv til angrebet mod Mærsk. Det udgør på et illustrativt eksempel på, hvor galt det kan gå, hvis it-sikkerheden i én del af et internationalt system ikke er så stærkt som resten af kæden.

”Notpetya ramte rigtigt mange virksomheder utroligt hårdt, herunder danske Mærsk. Der ser vi nu en udvikling, hvor alle virksomheder, der har netværksforbindelser ind og ud af Ukraine, er i en øget risiko lige nu,” siger Mark Fiedel.

Roden til den øgede risiko skal findes i den ”overløbs”-effekt, der ifølge CFCS-chefen er opstået som led i konflikten i Østeuropa. Kort fortalt har krigen i Ukraine ikke blot udviklet sig til en fysisk kampplads. Man oplever også en markant aktivitet af det, der i efterretningsterminologi kaldes ”destruktive cyberangreb”.

Målet er i praksis at ødelægge data eller kryptere dem til et punkt, hvor det er tæt på umuligt at få dem låst op. Den fremgangsmåde, der lammede Mærsk i 2017.

Mark Fiedel understreger, at forsøg på hacking sker hele tiden og fra flere kanter i Danmark. Alligevel placerer den øgede aktivitet nu danske virksomheder med ukrainske bånd i risikogruppen.

”Vi ser en række forsøg på destruktive cyberangreb i Ukraine i øjeblikket. Derfor kan man også blive ramt af en ”spill over”-effekt, når man er forbundet med landet. Det kan faktisk ske gennem en hvilken som helt form for netværksforbindelse, både hvis ens virksomhed har afdeling i landet, og via f.eks. underleverandører,” forklarer Mark Fiedel.

En ny virkelighed – men samme trussel

Ifølge Mark Fiedel har krigen i Ukraine ikke på nuværende tidspunkt givet grund til at hæve trusselsniveauet i Danmark. Niveauet udgør tjenestens overordnede vurdering af truslen mod Danmark, myndigheder og den centrale infrastruktur.

Når det kommer til danske virksomheder uden forbindelser til Ukraine-området, er billedet et andet, understreger han.

”Vi vurderer det som mindre sandsynligt, at man som dansk virksomhed eller myndighed er direkte i søgelyset for destruktive cyberangreb,” siger Mark Fiedel og tilføjer, at det samme gælder danske virksomheder i Rusland.

Den generelle opfordring lyder dog, at enhver virksomhed alligevel ”runderer” den digitale sikkerhed. Konsekvenserne af et angreb er nemlig fortsat store, og risikoen ”er ikke nede på nul procent”, som han formulerer det.

”Derfor er det en rigtig god idé at forberede sig: Er vi ordentligt rustet? Har vi været forbi alle kontroller, man kan være forbi? Og hvis der sker en udvikling, så trusselsniveauet øges, har vi så en klar måde at agere på,” siger Mark Fiedel.

Krigens nye tropper

Selv om det overordnede trusselsniveau mod Danmark er blevet fastholdt, er Mark Fiedel ikke i tvivl om, at selve udfordringen er blevet anderledes. Netop trusselsbilledet i cyberspace bliver generelt fulgt meget indgående, bemærker han. Og når han i dag gør status over de seneste uger, står én ting klart.

”Vi ser helt sikkert, at der er rigtigt mange nye og eksisterende aktører, som har meldt sig på banen i denne her konflikt – også på et niveau, som vi ikke har set før.”

Samme vurdering kunne man tidligere på måneden få fra tidligere chef for cybersikkerhed hos det hollandske forsvarsministerium og nuværende medlem af Europa-Parlamentet Bart Groothuis, som på Twitter bemærkede, at den nuværende organisering i de internationale hackermiljøer i disse uger er på vej ind i hidtil ukendt land.

”Mobiliseringen af hackere verden over til at angribe Rusland og Hviderusland på denne skala er et helt nyt fænomen,” konstaterede han.

Hos Center for Cybersikkerhed fremhæver Mark Fiedel selv grupperinger som det i dag kendte hackerfællesskab Anonymous. En gruppering, som har erklæret krig mod Rusland, siden russiske kampvogne trillede over grænsen til Ukraine.

Derudover peger CFCS-chefen på nye fænomer som etableringen af en ”IT-army”. En organisation som ifølge bl.a. Jyllands-Posten i dag skulle tælle omkring 300.000 hackere med baser i bl.a. metrostationer og beskyttelsesrum i Ukraine, mens såkaldte ”cyberpartisaner” har stillet skarpt på angreb mod infrastruktur.

”De ser eksempelvis ud til at have haft held med at forsinke forhold i transportsektoren i Belarus (Hviderusland, red.),” bemærker Mark Fiedel og uddyber, at netop de nye grupperinger samtidig gør det vanskeligere at forudsige udviklingen i trusselsbilledet mod Danmark og danske virksomheder.

”De her er ikke-statslige aktører,” som han formulerer det.

Det gør det vanskeligere at se motivationen. Og hvor deres grænser går.

Rusland vil lovliggøre piratkopiering for at kompensere for sanktioner

Cyberchef nedtoner risiko for ødelæggende angreb fra Rusland mod danske banker